Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

Cybersecurity: top-of-mind voor politiek, overheid én bedrijfsleven

Nog een kleine maand en dan draagt premier Rutte de Europese voorzittershamer over aan zijn Slowaakse collega en zit het Nederlandse EU Voorzitterschap er op. Naast grote politieke thema’s als de vluchtelingencrisis, werd deze periode ook gekenmerkt door een aantal interessante ontwikkelingen op het gebied van technologiebeleid. Zo besteedde Nederland veel aandacht aan start-ups en innovatie – met als hoogtepunt StartUp Fest twee weken geleden – net als aan e-Health, waarvoor deze week in Amsterdam duizenden experts bijeenkomen tijdens EU HIMMS.

Cyber op de Europese politieke agenda

Hoewel wat minder zichtbaar in de media dan start-ups en gezondheidszorg heeft de regering sinds 1 januari ook veel aandacht gevestigd op cybersecurity en cybercrime, thema’s waarop Nederland in vergelijking met andere landen in de EU qua expertise en ervaring voorop loopt. Zo agendeerde het Ministerie van Veiligheid en Justitie het verhogen van zogenoemde capacity building op het gebied van cybersecurity: het opkrikken van het algemene kennisniveau van zowel overheden als bedrijven en organisaties in de hele Europese Unie, om effectieve cybersecurity-maatregelen te nemen.

Meer aandacht voor kennis en expertise in andere landen van de EU is broodnodig, omdat cybercrime van nature onbegrensd is en veel bedrijven en organisaties ook in Nederland steeds afhankelijker zijn van goede maatregelen elders in Europa en de wereld. Dat Nederland daarbij bij mondde van staatssecretaris Klaas Dijkhoff in de EU ook pleit voor meer harmonisatie van Europese wetgeving voor het bestrijden van cybercrime is daarom een goede zaak. Maar de Nederlandse overheid moet dan – zoals eerder al door Microsoft bepleit – wel consequent zijn en ervoor zorgen dat het Wetsvoorstel Computercriminaliteit III (de ‘hackwet’) van dezelfde staatssecretaris, ervoor zorgt dat er bij de bestrijding van cybercrime door de Nederlandse politie en justitie niet over de grens wordt gehackt.

Wat overheden en bedrijven (kunnen) doen

Naast alle politieke focus heeft cybersecurity ook binnen bedrijven en overheden steeds meer aandacht gekregen. Of beter: dat zou het moeten krijgen. In een steeds nauwer verbonden wereld van internet, cloud computing en de enorme groei van devices en sensoren, is het voor bedrijven en overheden niet langer een zaak of maar wanneer ze maatregelen nemen om hun beveiliging op orde te krijgen. Op de wereldwijde RSA conference eerder dit jaar over veiligheid liet Bret Arsenault, CISO van Microsoft, bijvoorbeeld zien dat boardroom-betrokkenheid bij cybersecurity onmisbaar is geworden. Veiligheidsincidenten halen bijna dagelijks het nieuws en laten zien dat potentiële bedreigingen steeds diverser van aard zijn: economisch, financieel en zelfs politiek. Met de groeiende waarde én afhankelijkheid van technologie moet IT-risicomanagement daarom goed geborgd en ondersteund worden door de hele organisatie.

Om risico’s goed te managen zijn gelukkig diverse hulpmiddelen beschikbaar, zoals het NIST Cybersecurity Framework. Met het omarmen van clouddiensten is er ook steeds meer vraag naar een breder en dynamischer proces van governance: hoe kan je bijvoorbeeld de migratie van data en systemen naar de cloud overzichtelijk en betrouwbaar houden? En hoe kan je als je eenmaal in de cloud zit de waarborgen daarvan blijvend evalueren? Microsoft heeft met dat doel recent de Cloud Assurance Program Guide gepubliceerd, een handleiding die de stappen in dat proces beschrijft. Hoewel geschreven op toepassing door overheden is deze gids ook zeker goed toepasbaar op private organisaties.

Protect, detect and respond

Vanuit een dergelijk evaluatieprogramma en een gedegen risicoanalyse, ontstaat vervolgens een beeld wat een overheid of bedrijf kan doen om optimaal invulling te geven aan beveiligingseisen. Steeds meer organisaties zien daarbij de meerwaarde van een benadering die ervan uitgaat dat aanvallen nou eenmaal plaatsvinden en het dus het beste werkt om een holistische “protect, detect and respond“-strategie toe te passen. Dat is precies de securityvisie en -aanpak zoals die afgelopen november door Microsoft CEO Satya Nadella werd gepresenteerd en waarvoor Microsoft een aantal concrete handvatten biedt.

Dat cybersecurity steeds hoger op de agenda komt te staan – van de EU, overheden of bedrijven – is met de groeiende afhankelijkheid van technologie voor maatschappij en economie dus niet alleen nuttig, maar ook noodzakelijk. Zowel de Nederlandse overheid als bedrijven en organisaties kunnen daar in Europa een leidende rol in (blijven) spelen. Dat zorgt niet alleen voor de gedegen beveiliging die we nodig hebben, maar ook voor een politieke en economische voorsprong waarmee ons land zich echt kan onderscheiden.

Misschien ook interessant